Abo
  • Services:
Anzeige
Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen.
Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen. (Bild: Checkpoint)

JSFuck: Esoterischer Javascript-Stil ermöglicht XSS bei Ebay

Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen.
Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen. (Bild: Checkpoint)

Die XSS-Filter von Ebay lassen sich mit Hilfe eines zu Lernzwecken erstellten Javascript-Stils überlisten, um fremden Code auszuführen. Ebay will den Fehler nur halbherzig beheben. Der Entwickler von JSFuck zeigte sich im Gespräch mit Golem.de überrascht von dem Szenario.
Von Hauke Gierow

Die Sicherheitsfirma Checkpoint hat heute, Dienstag, ein Angriffsszenario vorgestellt, mit dem Händler auf Ebay ihren Kunden bösartigen Javascript-Code unterschieben könnten, um damit Phishing-Angriffe oder andere Aktionen auszuführen. Das Problem liegt in der Art und Weise, wie Ebay aktive Code-Elemente prüft - und in einem esoterischen Programmierstil für Javascript.

Anzeige

"Mit dem Ebay-Angriff können Cyberkriminelle Nutzer auf einfache Art ins Visier nehmen: Sie führen den Angriff aus, indem sie einen Link zu einem hochattraktiven Produkt senden. Die hauptsächliche Bedrohung sind die Verbreitung von Malware und das illegale Kopieren persönlicher Informationen", sagte Oded Vanunu, Leiter der Sicherheitsforschungsgruppe bei Checkpoint, im Gespräch mit Golem.de.

Die Sicherheitsforscher von Checkpoint haben für ihren theoretischen Angriff JSFuck benutzt. Mit JSFuck können Javascript-Befehle mit Hilfe von nur sechs verschiedenen Symbolen dargestellt werden. Diese sind !, [, ], +, (, und ). Das False-Kommando wird zu ![], die Ziffer 10 zu [+!+[]]+[+[]]. Eine vollständige Liste findet sich bei Github. Auf der Webseite von JSFuck kann bestehender Code mit Hilfe eines Tools einfach umgewandelt werden. Mit diesem umgewandelten Code konnten die Forscher dann bösartigen Javascript-Code von einem von ihnen kontrollierten Server laden - und könnten damit zum Beispiel Phishing-Angriffe mit Overlay-Fenstern durchführen. Der Angriff soll auf dem Desktop, aber auch in den Ebay-Apps für Android und iOS funktionieren.

JSFuck war nur als Hobbyprojekt gedacht

Das Projekt wird auf der Webseite als esoterischer Programmierstil bezeichnet, der nur zu Schulungszwecken und aus Spaß am Herumprobieren entwickelt wurde. Initiator Martin Kleppe sagte im Gespräch mit Golem.de: "Mit JSFuck wollte ich eigentlich nur zeigen, dass Javascript mit nur sehr wenigen unterschiedlichen Zeichen geschrieben werden kann." Kleppe zeigte sich überrascht darüber, dass mit JSFuck konvertierter Javascript-Code jetzt eingesetzt wurde, um die Entdeckung aktiver Elemente durch XSS-Filter zu umgehen.
Mit Hilfe von JSFuck haben die Sicherheitsforscher von Checkpoint nach eigenen Angaben Javascript-Code erzeugt, der von Ebays Filtermechanismen nicht entdeckt wird. Normalerweise zeigt der Online-Händler eine Fehlermeldung an, wenn Javascript-Elemente im HTML-Code der Händlerseite eingefügt werden. Checkpoint gibt an, Ebay bereits im Dezember auf die Untersuchungsergebnisse hingewiesen zu haben. Die beschrieben Sicherheitslücke wurde gefixt, eine generelle Abkehr von "aktive Inhalte" soll es jedoch nicht geben. Nach Veröffentlichung des Blogposts habe Ebay aber nun die zu Testzwecken angelegten Testkonten gesperrt, sagte ein Checkpoint-Vertreter im Gespräch mit Golem.de.

Nachtrag vom 4. Februar 2016, 9:26 Uhr

Ebay hat sich mittlerweile zu dem Vorfall geäußert. In einem von Ars Technica veröffentlichten Statement schreibt das Unternehmen: "Wir waren mit den Forschern in Kontakt und haben verschiedene, auf ihren Untersuchungsergebnissen basierende Filter installiert, die diesen Exploit entdecken würden." Nicht näher spezifizierten "aktiven Content" solle es aber auch weiterhin auf Ebay geben - Sicherheitsvorfälle damit würde es äußerst selten geben, schreibt das Unternehmen. Wir haben den Text an die neue Sachlage angepasst.


eye home zur Startseite
My1 15. Feb 2016

rainbow table ist durchaus schön aber wenn man 4 zufällige worte aus einer bekannten 2048...

My1 15. Feb 2016

JSFuck basiert auf der sehr laxen automatischen Typenumwandlung was es halt erlaubt das...

cpt.dirk 12. Feb 2016

Dazu ist niemand verpflichtet, es können sehr einfach Skripte je externer Domain separat...

crazypsycho 05. Feb 2016

Das script-Tag rauszufiltern ist technisch auf Serverseite überhaupt kein Problem. PHP...

crazypsycho 03. Feb 2016

Das mit bgcolor könnte man ja noch mit abwärtskompatiblität zu Uralt-Browser erklären...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Robert Bosch GmbH, Abstatt
  3. über Duerenhoff GmbH, Stuttgart
  4. KOSTAL Gruppe, Dortmund


Anzeige
Spiele-Angebote
  1. (-78%) 9,99€
  2. 22,99€
  3. (-78%) 4,44€

Folgen Sie uns
       


  1. Augmented Reality

    Google stellt Project Tango ein

  2. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  3. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  4. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

  5. Antec P110 Silent

    Gedämmter Midi-Tower hat austauschbare Staubfilter

  6. Pilotprojekt am Südkreuz

    De Maizière plant breiten Einsatz von Gesichtserkennung

  7. Spielebranche

    WW 2 und Battlefront 2 gewinnen im November-Kaufrausch

  8. Bauern

    Deutlich über 80 Prozent wollen FTTH

  9. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  10. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Ticket Deutschland bei der BVG: Bewegungspunkt am Straßenstrich
E-Ticket Deutschland bei der BVG
Bewegungspunkt am Straßenstrich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

LG 32UD99-W im Test: Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
LG 32UD99-W im Test
Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
  1. Android-Updates Krack-Patches für Android, aber nicht für Pixel-Telefone
  2. Check Point LGs smarter Staubsauger lässt sich heimlich fernsteuern

Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

  1. Re: Steht im Link

    User_x | 23:22

  2. Re: Bisher 700000 Menschen sagen "danke Staat".

    tingelchen | 23:21

  3. Wo ist da nun das Problem?

    Apfelbrot | 23:17

  4. Re: Einfach Datenvolumen erhöhen

    Bigfoo29 | 23:16

  5. Re: Technisch gesehen

    Unix_Linux | 23:13


  1. 12:47

  2. 11:39

  3. 09:03

  4. 17:47

  5. 17:38

  6. 16:17

  7. 15:50

  8. 15:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel